Размер: 137 Кб
Time/Date Stamp (GMT): 26 марта 2009 г. 06:03:13
http://www.virustotal.com/ru/analisis/a4ec604685deb703f90bcc59cd775a47
http://www.threatexpert.com/report.aspx?md5=bf3e95a24e203f680465e165ba4a02b1
Файл в несколько слоев обернут протекторами: первый не представляет из себя нечего сложного, во втором и третьем применена антиотладка и антидамп. После распаковки оказалось, что программа написана на С++. Качество кода достаточно низкое.
Вначале как всегда инициализация импорта. Затем идут антиотладочные проверки: IsDebuggerPresent, поиск строк VMware в реестре, проверка GetTickCount и т.д., в случаи нахождения чего-либо подозрительного программа самоудаляется с помощью BAT файла. Далее идет странная проверка на хук функции MessageBox, проверяются первые 5 байт этой функции и если это “E8 00 04 00 60” (CALL куда?), то программа зацикливается.
После этого расшифровываются строки, часть строк зашифрована по замысловатому алгоритму, основанному на XOR, а часть с использованием алгоритм BlowFish. Файл копируется в папку FONTS и запускается как служба с именем “Windows Host Controller”. Затем запускается новый поток, который проверяет наличие мютекса "gx000032", если он есть, то система уже инфицирована и процесс завершается. Программа читает ключи из ветки реестра “SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions” и если там есть ключи с именами файлов, то они удаляются. Затем в эту ветку записывается дата и время заражения, и время работы системы. Далее просматриваются и отправляются в командный центр список служб, доступность записи в реестр и общие сетевые ресурсы. Очищается кеш DNS и все журналы событий. Червь правит множество параметров в реестре для своей комфортной работы по сети, включая отключение встроенного бранмауера и проброс портов с помощью программы “netsh.exe”.
Далее начинается непосредственно работа с командным центром. В программу зашит большой список IRC серверов, которые можно использовать для управления ботом:
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
Интересно, что среди большого количества функций по управлению ботом (апдейт, сбор информации, DoS, заражение USB дисков и т.д.), есть функция самоуничтожения. При запросе информации о версии, бот отправляет: “Built: Mar 26 2009 01:02:59 g.3.2 (g.3.2.3.fp)”.
Комментариев нет:
Отправить комментарий